\clearpage
\section{Firewall-Regeln}

Die Anforderungen an das Kommunikationsprofil sind:
\begin{itemize}
\item Client A kann mittels SSH/ICMP auf Client C zugreifen
\item Client B kann mittels ICMP auf die Clients C/D zugreifen
\item Client B kann mit FTP/HTTP auf Webserver zugreifen
\item Client C hat eine ICMP Verbindung zu Client A/B und MGT. Client
\end{itemize}

Daraus ergeben sich folgene Komminikationspfade, die in 3 Teile aufgebrochen
werden können. Diese Pfade sind in Abbildung \ref{fig:path} zu sehen.

Clients A, B, D bieten selbst keine Services untereinander
an. Client C bietet A einen SSH-Dienst an. Der Mgmt-Client ist wegen seiner
Sonderstellung als Management-PC zu bevorzugen.

\begin{figure}[!h]
		\includegraphics[width=10cm]{dia/comm.png}
	\caption{Kommunikationspfade}
	\label{fig:path}
\end{figure}

B greift als einziger auf den Webserver zu.

Als Netze sind folgende Zusammengefasst und werden als ``Single Network
Address'' in der Firewall angelegt.
Mgmt 172.16.20.0/24
User 172.16.30.0/24
DMZ 172.16.10.0/24

Als Netzwerk-Objekte sind daher folgende identifiziert:
Client C 172.16.30.31
Mgmt-Client 172.16.20.5
Client B 172.16.30.32 
Webserver 172.16.10.10

Die Grundsätzliche Haltung für dieses Netzwerk ist BLOCK ALL, damit wird eine
Regel, die jeglichen Inhalt verwirft erstellt.

\begin{tabular}{cccc}
Client C & ICMP & Mtmt-Client & explicit \\
Client B & FTP & Webserver & explicit \\
Client B & HTTP & Webserver & explicit \\
\end{tabular}

 rules.png
 
 \subsection{Verification der Regeln}
 
 zu überprüfende Prämissen:
\begin{itemize}
\item ein übernommener C darf beim Mgmt-Client nur pingen
\item  der Mgmt-Client darf nicht ins User-LAN
\item  der Mgmt-Client darf nicht auf den Webserver
\item  B darf auf Webserver http und ftp
\item  nicht B-Clients im User-LAN dürfen nicht auf den Webserver
\item  nicht B-Clients keine Geräte im Mgmt-LAN finden
\end{itemize}
 
Die Loopback-Adressen der Firewall sind alle erreichbar.
 
Die Regeln wurden mit Nessus verifiziert. Dabei wurde die IP-Adresse von Client
C angenommen und den Scan durchgeführt. Dabei wurden ICMP-Informationen
gefunden, die nicht kritisch eingestuft wurden. Zuvor wurde aus dem Mgmt-LAN der
Mgmt-Client gescannt und einige kritische Lücken gefunden.
Im Log der Firewall sieht man die geblockten Zugriffe.
 
 